Online-Verwaltung / Metadatenverwaltung

Die SAML-Metadaten aller teilnehmenden Identity Provider, Service Provider und Attribute Authorities werden über die Metadatenverwaltung gepflegt. Jede Heimateinrichtung bzw. jeder Dienstanbieter erhält von uns nach Unterzeichnen der Dienstvereinbarung Zugang zur Metadatenverwaltung (siehe hierzu unter Anmeldung). Die Metadatenverwaltung finden Sie unter https://mdv.aai.dfn.de

Metadata Registration Practice Statement

Metadaten-Admins können nur von den in den Vertragsunterlagen festgelegten vertraglichen oder technischen Ansprechpersonen benannt werden. In der Metadatenverwaltung sind diese Personen bei den Vertragsdaten Ihrer Einrichtung aufgelistet.

Wenn Sie als vertragliche oder technische Ansprechperson eine DFN-AAI-Dienstvereinbarung oder ein SP Agreement unterzeichnet haben, benennen Sie neue Metadatenadmins, indem Sie folgende Informationen zu den gewünschten Metadatenadmins per Mail an hotline@aai.dfn.de schicken:

• Vor- und Nachnamen,
• die E-Mail-Adresse und
• die dienstliche Telefonnummer.

Die Einladung wird dann jeweils direkt an die neuen Metadaten-Admins gesendet.

Bitte beachten Sie auch die (ab dem 9. Nov. 2022) neu eingeführte "Subadmin"-Rolle: Alle Metadatenadmins können eigenständig Subadmins einladen und die Metadatenverwaltung einzelner IdPs/SPs an sie delegieren. (Unten finden Sie genauere Informationen zu den Berechtigungen von Subadmins.)

Sie erhalten eine Einladungsmail an die Adresse, die für Sie bei uns hinterlegt ist. Folgen Sie dem Link in der Einladung, der nur einmal geöffnet werden kann. Sollten Sie dem Link gefolgt sein, ohne dann ein initiales Passwort zu setzen, verwenden Sie bitte den Passwort-Reset-Link.

Die Hinterlegung eines zweiten Faktors ist in der neuen Metadatenverwaltung Pflicht. Nach Ihrem initialen Login werden Sie daher direkt zur Einrichtung eines zweiten Faktors aufgefordert:

• Sie können sowohl eine TOTP-App auf einem Smartphone, als auch einen Passwort-Manager, der dies unterstützt, verwenden.
• Schritt 1: Als erstes geben Sie bitte einen Namen für das Gerät ein, etwa „Handy“. Er ist nur für Sie selbst bestimmt und dient der Unterscheidung verschiedener eingerichteter Faktoren. Klicken Sie auf „Gerät für Zwei-Faktor-Authentifizierung hinzufügen“.
  • Scannen Sie im nächsten Schritt den angezeigten QR-Code mit einer Authenticator-App für das Smartphone und bestätigen Sie das Gerät durch die Eingabe eines auf dem Gerät erzeugten Codes.
  • Um statt einer Smartphone-Anwendung einen Passwort-Manager zu verwenden, können Sie den Link unter dem QR-Code verwenden. Bitte beachten Sie, dass ein Passwortmanager, der das Passwort und den zweiten Faktor enthält, weniger Zwei-Faktor ist als ein separat aufbewahrter zweiter Faktor. Bitte achten Sie darauf, dass der Rechner, auf dem die Anwendung installiert ist, seine Uhrzeit mit einem Zeitserver abgleicht. Wenn die Systemzeit von der Systemzeit des Servers abweicht, werden die Tokens nicht anerkannt.
• Schritt 2: Notfallcodes generieren
  • Für den Fall, dass Sie keinen Zugriff mehr auf Ihr Gerät für die 2FA haben, sollten Sie im unteren Teil der 2FA-Seite fünf Notfallcodes generieren lassen. Sie können jeweils einmalig als zweiter Faktor verwendet werden. Heben Sie die Codes an einem sicheren Ort auf.
  • Sollten die Notfallcodes verloren sein, können Sie sie auf dieser Seite auch entwerten.
• Zu einem späteren Zeitpunkt können Sie zur Einrichtung der Zweifaktor-Authentifizierung zurückkehren, indem Sie oben rechts das Menü unter Ihrer Mailadresse öffnen und den Menüpunkt „2FA“ auswählen:

Wenn Sie nach Ihrer allerersten Anmeldung an der neuen MDV keinen zweiten Faktor registriert haben, können Sie EINMALIG einen Token per E-Mail anfordern. Gehen Sie dazu zur Loginmaske, füllen Sie Usernamen (also Ihre E-Mailadresse) und Passwort aus und schicken Sie das Formular ab. Die Metadatenverwaltung bietet Ihnen danach an, einen Token per Mail zu erhalten. Wenn Sie sich damit eingeloggt haben, richten Sie bitte umgehend Ihren dauerhaften zweiten Faktor ein (Notfallcodes nicht vergessen!).

• Klappen Sie oben rechts das Menü unterhalb von Ihrer Nutzerkennung auf und wählen Sie den Menüpunkt „Passwort ändern“ aus.
• Geben Sie 1x Ihr altes und 2x Ihr neues Passwort ein. Beachten Sie die dort aufgelisteten Regeln zu den Zeichen im Passwort.
• Speichern Sie das neue Passwort mit dem Knopf „Passwort ändern“.

Subadmins sind eine neu eingeführte Rolle in der neuen Metadatenverwaltung. Die Metadaten-Admins einer Organisation können damit eigenständig die Bearbeitung der Metadaten einzelner IdPs oder SPs an Dritte delegieren. Die AAI-Hotline muss nicht in die Vergabe von Zugangsdaten an Subadmins involviert werden. (Metadaten-Admins mit vollen Berechtigungen werden nach wie vor über die Hotline angemeldet.)

Subadmins haben eingeschränkte Rechte. Sie können:

• die Übersicht mit allen Angaben zu Ihrer Einrichtung inkl. der Ansprechpersonen sehen,
• die Metadaten aller in Ihrem Account eingepflegten System sehen,
• Metadaten der ihnen explizit zugewiesenen Systeme editieren,
• die Versionsgeschichte der ihnen explizit zugewiesenen Systeme einsehen,
• Logos und Favicons hochladen.

Was Subadmins nicht können:

• die Angaben zur Institution bearbeiten
• eigene IdPs oder SPs anlegen,
• komplette Metadatensätze von Entitäten löschen,
• Scopes bearbeiten.

• Gehen Sie auf die Übersichtsseite Ihrer Organisation. Das ist die Seite, die Sie nach dem Login sehen.
• Klappen Sie den Abschnitt „Benutzer“ auf und klicken Sie auf „Subadmin einladen“.
• Geben Sie die E-Mail-Adresse der Person ein, der Sie Metadatenzugriff geben möchten, und klicken Sie auf „Benutzer einladen und Berechtigungen verwalten“.
• Machen Sie im Formular auf der nächsten Seite einige Angaben zu der Person. Neben der E-Mail-Adresse sind der Vorname, der Nachname und die dienstliche Telefonnummer Pflichtangaben.
• Im Abschnitt „Berechtigungen“ sehen Sie eine Liste Ihrer IdPs und SPs. Hier können Sie dem neuen Subadmin Zuständigkeiten für einzelne Entitäten zuweisen. Andere Systeme kann diese Person nicht bearbeiten.
• Subadmins können keine eigenen IdPs oder SPs anlegen! Erstellen Sie bitte den grundlegenden Metadatensatz selbst, um dann die Zuständigkeit an jemanden zu delegieren.
• Speichern Sie die Änderungen.
• Sie kommen zurück zur Übersicht. In der Liste der Benutzer*innen sehen Sie jetzt auch die neu angelegte Person. Ganz rechts haben Sie Knöpfe zum Bearbeiten oder Entfernen des Accounts.

Wenn Sie sich an der Metadatenverwaltung angemeldet haben, sehen Sie i.d.R. die Übersichtsseite Ihrer Organisation. Wenn Sie Metadatenadmin für mehrere Organisationen sind, sehen Sie die Liste der verwaltbaren Organisationen.

Die Übersicht enthält mehrere Abschnitte, die beim Öffnen der Seite eingeklappt sind:

• Zertifikatswarnungen: Wenn bei mindestens einem Ihrer Systeme die Zertifikate für die SAML-Kommunikation innerhalb der nächsten 30 Tage ablaufen oder bereits abgelaufen sind, finden Sie zuoberst einen rot markierten Abschnitt. Klappen Sie ihn auf, können Sie die betroffenen Metadatensätze direkt editieren.
• Angaben zur Institution: Hier pflegen Sie den Anzeigenamen und die „Information URL“ Ihrer Organisation. Die Angaben werden automatisch im <Organization>-Element Ihrer Metadatensätzen ergänzt. Klicken Sie in die Zeilen für deutsch oder englisch, um die Angaben zu bearbeiten.
• Verträge:
  • Hier finden Sie alle Angaben zu Ihrer DFN-AAI-Dienstvereinbarung bzw. Ihrem Service Provider Agreement. Bitte prüfen Sie von Zeit zu Zeit die Aktualität dieser Daten und melden Sie Änderungen an unsere Hotline! Insbesondere die Vertragskontakte sind relevant, da nur sie dazu berechtigt sind, voll berechtigte Metadatenadmins zu benennen. (Subadmins können dagegen auch von Metadatenadmins benannt werden.)
• Lokale Metadaten: Hier finden Sie eine Liste aller Entitäten, die im lokalen Metadatensatz Ihrer Heimateinrichtung eingetragen sind. Darüber hinaus sind hier der Download-Link zu Ihrem einrichtungsspezifischen lokalen Metadatensatz sowie eine Möglichkeit, den Zugriff auf die Datei IP-basiert einzuschränken.
• Unter Benutzer können Sie die Liste alle Metadaten-Admins Ihrer Heimateinrichtung bzw. Firma sehen. Es wird unterschieden zwischen Metadatenadmins mit Vollzugriff auf die Organisation und Subadmins, deren Schreibzugriff auf einen oder einzelne IdPs/SPs beschränkt ist. Hier können Sie als Metadatenadmin mit Vollzugriff selbst Subadmins einladen (s.u.).
• Unter Entitäten gelangen Sie zu den Identity Providern, Service Providern oder Attribute Authorities Ihrer Einrichtung.
• Entitätenlisten: Wenn Sie in der Übersicht hier einen Abschnitt namens Entitätenlisten haben, dann wird bei Ihnen eine Entity Category verwaltet, z.B. eine sog. virtuelle Subföderation für ein Landesprojekt o.ä. In diesem Abschnitt konfigurieren Sie, welche Entitäten dazugehören.
  Wichtig:
  • Die Liste und die zugehörige Entity Category müssen vom DFN-AAI Team initial eingerichtet werden
  • Die Zugriffsrechte auf die Entitätenliste werden vom DFN-AAI Team gesetzt, auch für Sub-Admins
• Logos und Scopes: Hier hinterlegen Sie alle Logos, Favicons und den oder die Scopes, die Sie für Ihre Entitäten brauchen. Beim Bearbeiten konkreter Entitäten werden sie dann nur noch zugewiesen. Neu hinterlegte Scopes müssen vom DFN-AAI-Team freigeschaltet werden.

Wenn Sie auf die Übersichtsseite Ihrer Organisation den Abschnitt „Entitäten“ aufklappen, können Sie dort in die Liste der IdPs, Attribute Authorities oder SPs Ihrer Organisation wechseln. In der jeweiligen Liste können Metadatenadmins mit Vollzugriff rechts über die Aktionsschalter folgende Aktionen ausführen:

1. die Entität bearbeiten,
2. die Metadaten der Entität einsehen
3. die Metadaten der Entität herunterladen
4. die Entität löschen
5. die Versionsgeschichte der Metadaten dieser Entität ansehen

• Gehen Sie auf die Übersichtsseite Ihrer Organisation und klappen Sie den Abschnitt „Entitäten“ auf. Klicken Sie dort auf „Identity Provider“ bzw. „Service Provider“.
• Wenn Sie bereits andere Entitäten hinterlegt haben, sehen Sie hier eine Liste.
• Über der Liste sind zwei Knöpfe:
• „Eine Entität aus vorhandenen Metadaten erzeugen“:
  • Kopieren Sie die xml-Metadaten Ihres IdPs bzw. SPs in das Textfeld und klicken Sie auf „Hochladen“.
  • Der neue Metadatensatz ist jetzt angelegt worden.
  • Bei Bedarf können Sie im Formular gleich noch Änderungen vornehmen. Klicken Sie dann auf „Änderungen überprüfen“.
• „Identity Provider anlegen“ bzw. „Service Provider anlegen“:
  • Hier erhalten Sie ein leeres Formular, in das Sie selbst alle Angaben eintragen müssen.

• Gehen Sie auf die Übersichtsseite Ihrer Organisation und klappen Sie den Abschnitt „Entitäten“ auf. Klicken Sie dort auf „Identity Provider“ bzw. „Service Provider“.
• In der Liste der IdPs/SPs wechseln Sie mit dem ersten der Aktionsknöpfe in den Bearbeitungsmodus.
• Jeder Abschnitt enthält kurze Hilfetexte zum Ausfüllen, die Sie auch hier im Wiki finden, z.B. in unserer Checkliste.
• Um eine Änderung zu speichern, klicken Sie unten auf „Änderungen überprüfen“. Prüfen Sie das angezeigte Diff und bestätigen oder ändern Sie Ihre Eingabe.

• Aus Sicherheitsgründen holt unsere neue Metadatenverwaltung keine (neuen) Logos mehr aus dem Netz. Alle neuen Logos müssen Sie in die Metadatenverwaltung hochladen, die sie dann ausliefert.
• Auf der Übersichtsseite Ihrer Organisation finden Sie ganz unten den Abschnitt „Logos und Scopes“. Klappen Sie ihn auf und wählen Sie „Logos & Favicons“.
• In der nächsten Ansicht wählen Sie den Reiter „Logos“ oder den Reiter „Favicons“ aus.
• Jeder Reiter präsentiert Ihnen die Liste bereits hochgeladener Logos bzw. Favicons, einschließlich ihrer Verwendung in Metadatensätzen.
• Klicken Sie auf „Neues Logo hochladen“ bzw. „Neues Favicon hochladen“, um zur Upload-Maske zu gelangen.
• Wählen Sie die gewünschte Datei von Ihrem Computer aus und geben Sie Ihr einen aussagekräftigen Namen für die Übersichtstabelle.
• Wenn Ihre Datei nicht den maximal darstellbaren Bildmaßen entspricht, können Sie sie automatisch skalieren lassen, indem Sie das Häkchen bei „Autoscale“ setzen. Die Metadatenverwaltung akzeptiert keine Logos oder Favicons, die zu groß der zu klein sind. Lehnen Sie das automatische Skalieren ab, so müssen Sie selbst dafür sorgen, dass die Dateien die korrekten Maße haben.